专利名称:视频监控中生成密钥的方法及系统、设备的制作方法
技术领域:
本发明涉及视频监控技术领域,尤其涉及一种视频监控中生成密钥的方法及系统、设备。
背景技术:
流媒体领域包括网络电视(Internet Protocol Television,IPTV)、音乐电视 (Music Television,MTV)、数字电视(Digital television,DTV)、视频监控等小的领域。其中,IPTV、MTV、DTV等流媒体领域中,媒体源是公开的,因而不对媒体源的数据进行加密。视频监控由于可能涉及个人隐私信息,在媒体文件通过网络传输给终端用户的过程中,可能存在媒体流被人截取,导致媒体内容泄露等安全隐患。因此,需要对视频监控中的媒体流进行端到端加密。在视频监控领域,媒体文件通过网络传输给终端用户,在传输的过程中,媒体流有可能被人截取,泄露媒体内容。而且由于视频监控中的媒体内容很有可能涉及个人隐私,所以需要从摄像头源头就对其媒体流进行加密。现有技术中,视频监控领域中,用前端设备根密钥对媒体流进行加密,媒体流通过网络传输给视频监控平台,再通过视频监控平台转发到客户端的过程始终保持加密状态, 前端设备根密钥始终保存在客户端。客户端利用保存的根密钥对媒体流进行解密,进而播放。在实现本发明的过程中,发明人发现现有技术存在的缺陷在于根密钥始终保存在客户端导致密钥可能被破解而失效,因此如何在视频浏览过程实现加密的有效性,保证视频浏览过程的安全性是亟待解决的问题。
发明内容
本发明实施例提出一种视频监控中生成密钥的方法及系统、设备,以生成对媒体文件加密的密钥,提高媒体文件传输的安全性。本发明实施例提供了一种视频监控中生成密钥的方法,包括接收前端设备的开户请求,所述开户请求中携带有管理员设置的第一密钥;接收所述前端设备的登录请求,与所述前端设备协商生成前端设备随机数;将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述前端设备随机数以及所述前端设备设备信息中的根密钥生成对媒体文件加密的内容加密密钥。本发明实施例还提供了一种视频监控中生成密钥的方法,包括向视频监控平台发送开户请求,所述开户请求中携带有管理员设置的第一密钥;向所述视频监控平台发送登录请求,与所述前端设备协商生成前端设备随机数;接收所述视频监控平台发送的第一密钥;根据所述第一密钥、所述前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥。本发明实施例还提供了一种视频监控平台设备,包括开户请求接收模块,用于接收前端设备的开户请求,所述开户请求中携带有管理员设置的第一密钥;登录请求处理模块,用于接收所述前端设备的登录请求,与所述前端设备协商生成前端设备随机数;第一密钥发送模块,用于将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述前端设备随机数以及所述前端设备设备信息中的根密钥生成对媒体文件加密的内容加密密钥。本发明实施例还提供了一种前端设备,包括开户请求模块,用于向视频监控平台发送开户请求,所述开户请求中携带有管理员设置的第一密钥;登录请求模块,用于向所述视频监控平台发送登录请求,与所述前端设备协商生成前端设备随机数;第一密钥接收模块,用于接收所述视频监控平台发送的第一密钥;加密密钥生成模块,用于根据所述第一密钥、所述前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥。本发明实施例还提供了一种视频监控中生成密钥的系统,包括上述视频监控平台设备、前端设备。上述实施例提供的技术方案通过与前端设备协商前端随机数,并将第一密钥发送给前端设备,以使前端设备根据第一密钥、前端随机数及前端设备根密钥生成对媒体文件加密的内容加密密钥,提高了媒体文件传输的安全性。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种视频监控中生成密钥的方法的流程图;图2为本发明实施例提供的另一种视频监控中生成密钥的方法的流程图;图3为本发明实施例提供的视频监控中生成密钥的方法中前端密钥下发的信令流程图;图4为本发明实施例提供的视频监控中生成密钥的方法中用于实时浏览的密钥下发的信令流程图;图5为本发明实施例提供的视频监控中生成密钥的方法中用于录像、下载的密钥下发的信令流程图;图6为本发明实施例提供的视频监控中生成密钥的方法中用于密钥变更的信令流程图;图7为本发明实施例提供的视频监控平台设备的结构示意图8为本发明实施例提供的前端设备的结构示意图;图9为本发明实施例提供的客户端装置的结构示意图; 图10为本发明实施例提供的视频监控中生成密钥的系统的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明实施例提供的一种视频监控中生成密钥的方法的流程图。如图1所示,该方法包括步骤11、接收前端设备的开户请求,所述开户请求中携带有管理员设置的第一密钥;本步骤可由视频监控平台(NetworkVideo Surveillance System,NVS)执行。视频监控平台具有提供视频实时浏览、录像、历史录像回放、下载、告警等功能。如视频监控平台在管理员的操作下,接收管理员操作发起的设备开户请求,为前端设备(Peripheral Unit, PU)进行开户。该前端设备可为前端编码器,具有提供视频数据的采集、告警信号的输入输出、云镜控制、存储等功能。开户请求中可携带密钥,如密钥种子(Key Seed,KS),以便视频监控平台发给该前端设备,用于前端设备生成用于对媒体文件进行加密的内容加密密钥(Content Encryption Key, CEK)。步骤12、接收所述前端设备的登录请求,与所述前端设备协商生成前端设备随机数(PU Random, P-RAND);本步骤可由视频监控平台执行。如开户的前端设备上电后会向视频监控平台发送注册请求消息,以进行登录。注册请求消息中可携带P-RAND步骤13、将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述P-RAND以及所述前端设备设备信息中的根密钥(PURoot Key,P-RK)生成对媒体文件加密的CEK。本步骤可由视频监控平台执行。如视频监控平台根据开户请求对相应的前端设备进行开户后,在返回开户请求消息的响应消息中携带所述第一密钥发送给开户的前端设备。其中,设备信息可为前端设备的MAC地址、序列号等。前端设备可通过与视频监控平台约定的计算方法如异或等对设备信息进行运算,得到P-RK,以便后续生成CEK。视频监控平台可提取所述注册请求消息中的P-RAND及设备信息进行保存,同样也会通过约定的计算方法对设备信息进行运算,得到P-RK。本发明实施例提供的视频监控中生成密钥的方法还可包括接收客户端发送的访问所述媒体文件请求,根据所述访问所述媒体文件请求将生成的所述媒体文件的初始解密密钥向所述客户端发送。其中,客户端可为软件,具有提供授权用户进行实时浏览、历史录像回放下载等功能。该步骤可由视频监控平台执行。具体地,如视频监控平台接收客户端发送的实时浏览请求,将根据所述第一密钥、所述P-RAND以及获取的前端设备设备信息中的P-RK生成的对媒体文件加密的CEK,和与所述客户端登录时协商的客户端随机数(Client Random, C-RAND)以及所述客户端版本信息中的根密钥(Client Root Key, C-RK)生成短期密钥 (Short Key, SK),将所述第一 SK向所述客户端发送,以实现各个客户端与视频监控平台之间的CEK传输的加密,保证内容加密密钥的安全性。或者如接收客户端发送的媒体文件下载请 求,根据所述媒体文件下载请求将对所述前端设备发送的加密后的媒体文件进行录制的录像文件和长期密钥(Long Key, LK)向所述客户端发送,所述LK为将根据所述第一密钥、所述P-RAND以及获取的前端设备设备信息中的P-RK生成的对媒体文件加密的CEK,* 与所述客户端登录时协商的C-RAND以及所述客户端版本信息中的C-RK生成的密钥。当接收客户端发送的实时浏览请求时,本发明实施例提供的视频监控中生成密钥的方法还可包括将所述实时浏览请求向所述前端设备转发,并接收所述前端设备根据所述实时浏览请求返回的加密后的媒体文件,将所述加密后的媒体文件向所述客户端发送。 所述客户端接收所述加密后的媒体文件,并根据所述第一 SK、所述C-RAND以及所述客户端版本信息中的C-RK生成第一解密密钥,利用所述第一解密密钥对所述加密后的媒体文件进行解密。当接收客户端发送的媒体文件下载请求时,本发明实施例提供的视频监控中生成密钥的方法还可包括所述客户端对所述录像文件进行下载,并根据接收的所述LK、所述 C-RAND以及所述客户端版本信息中的C-RK生成第二解密密钥,利用所述第二解密密钥对所述加密后的媒体文件进行解密。本发明实施例提供的视频监控中生成密钥的方法还可包括与所述前端设备协商变更所述P-RAND。如前端设备可将P-RAND配置为可定期变更或其他的变更策略的变更,然后前端设备根据配置向视频监控平台发送包含有变更后的P-RAND的密钥协商变更请求。 此时,所述将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述P-RAND以及所述前端设备设备信息中的P-RK生成对媒体文件加密的CEK包括将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述协商变更后的 P-RAND以及所述前端设备设备信息中的P-RK生成对媒体文件加密的CEK。本发明实施例提供的视频监控中生成密钥的方法还可包括判断是否有客户端对所述前端设备的媒体文件发送实时浏览请求;若判断为是,根据所述第一密钥、所述协商变更后的P-RAND以及获取的前端设备设备信息中的P-RK生成的对媒体文件加密的CEK,和与所述客户端登录时协商的C-RAND以及所述客户端版本信息中的C-RK生成SK,将所述第二 SK向所述客户端发送。本发明实施例提供的视频监控中生成密钥的方法还可包括将接收到的前端设备发送的加密后的媒体文件转发给所述客户端;所述客户端判断所述密钥变更标识位是否被所述前端设备修改;若是,则所述客户端根据所述第二 SK、所述C-RAND以及所述客户端版本信息中的C-RK生成第二解密密钥对所述加密后的媒体文件进行解密。本发明实施例提供的视频监控中生成密钥的方法还可包括判断是否保存有媒体文件的录像文件;若是,根据所述第一密钥、所述协商变更后的P-RAND以及获取的前端设备设备信息中的P-RK生成的对媒体文件加密的CEK,和与客户端登录时协商的C-RAND以及所述客户端版本信息中的C-RK生成第二 LK。
本实施例提供的技术方案通过与前端设备协商P-RAND,并将第一密钥发送给前端设备,以使前端设备根据第一密钥、P-RAND及P-RK生成对媒体文件加密的CEK,由于管理员可以对第一密钥进行更换,P-RAND可以被协商变更,使生成的对媒体文件加密的CEK不至于固定不变,提高了 CEK的可靠性,同时使媒体文件传输的安全性。进一步地对CEK进行加密后发送给客户端,使得P-RAND变更的情况下,发送到客户端的CEK也随之变更,从而实现了前端设备、视频监控平台与客户端之间的动态密钥的同步,满足了动态密钥的同步需求, 在保证了加密的安全性同时,使得解密也及时有效。 图2为本发明实施例提供的另一种视频监控中生成密钥的方法的流程图。如图2 所示,该方法可包括步骤21、向视频监控平台发送开户请求,所述开户请求中携带有管理员设置的第一密钥;本步骤可由前端设备执行。如前端设备在管理员的操作下向视频监控平台发送携带有第一密钥的开户请求,第一密钥详见上述步骤11的说明。步骤22、向所述视频监控平台发送登录请求,与所述前端设备协商生成P-RAND ;本步骤可由前端设备执行。如前端设备随机生成P-RAND,或者进一步将该参数配置为按照一定策略变更的参数。在发送时前端设备上电后向所述视频监控平台发送注册请求消息请求登录,一并将P-RAND发送给视频监控平台,以使得视频监控平台生成本设备用来加密媒体的CEK,详见上述步骤13的说明。步骤23、接收所述视频监控平台发送的第一密钥;步骤24、根据所述第一密钥、所述P-RAND以及设备信息中的P-RK生成对媒体文件加密的CEK。本步骤可由前端设备执行。生成CEK后,前端设备对媒体文件进行加密。本发明实施例提供的视频监控中生成密钥的方法还可包括接收所述视频监控平台转发的实时浏览请求;根据所述实时浏览请求向所述视频监控平台返回加密后的媒体文件。本发明实施例提供的视频监控中生成密钥的方法还可包括与所述视频监控平台协商变更所述前端设备随机数;此时,所述根据所述第一密钥、所述前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥包括根据所述第一密钥、协商变更后的前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥。本发明实施例提供的视频监控中生成密钥的方法还可包括对加密后的媒体文件中的密钥变更标识位进行修改。本实施例提供的技术方案通过与视频监控平台协商P-RAND,并利用P-RAND及 P-RK生成对媒体文件加密的CEK,提高了媒体文件传输的安全性。进一步地配置P-RAND 并将P-RAND及自身的P-RK发送到视频监控平台,实现了视频监控平台与前端设备之间的密钥同步。P-RAND可配置可变更的随机数,从而在P-RAND变更的情况下,发送到视频监控平台的CEK也随之变更,从而实现了前端设备与视频监控平台客户端之间的动态密钥的同步,满足了动态密钥的同步需求,保证了加密的有效性。图3为本发明实施例提供的视频监控中生成密钥的方法中前端密钥下发的信令流程图。前端设备开户时,运营商管理员将KS保存在视频监控平台中。KS可以由管理员根据用户请求进行修改,以改变源加密密钥。具体地,该方法包括步骤31、当有前端设备接入到网络中时,管理员在视频监控平台发起设备开户请求,开户请求中携带有KS。步骤32、视频监控平台接收所述设备开户请求,保存设备开户请求中的KS。步骤33、视频监控平台在前端设备第一次登录时,下发KS到前端设备,由前端设备保存在本地中。步骤34、视频监控平台处理完设备开户请求后,显示设备开户结果给运营商管理员O步骤35、各种类型前端设备上电时,调用前端插件(P-PN)到视频监控平台进行注册。上线注册时,前端设备向视频监控平台发送携带有P-RAND注册请求,以进行协商。该 P-RAND可在前端设备侧配置为定期变更,以保证密钥的有效性。步骤36、视频监控平台接收到注册请求时,对前端设备鉴权处理,并保存该前端设备的 P-RAND ;步骤37、视频监控平台返回鉴权处理结果给前端设备;步骤38、如果鉴权处理结果为鉴权成功,则前端设备保存P-RAND,以通过P-PN用 KS、P-RAND、以及前端设备自身的P-RK,生成CEK。之后,前端设备利用CEK加密媒体数据, 得到加密媒体。在用户进行实时浏览或下载录像时,前端设备将加密媒体发送给视频监控平台,通过视频监控平台将加密媒体发送给用户终端。本实施例中,视频监控平台通过下发KS到前端设备,并获取前端设备的P-RAND、 P-PN,实现了视频监控平台与前端设备的CEK同步。图4为本发明实施例提供的视频监控中生成密钥的方法中用于实时浏览的密钥下发的信令流程图。具体包括步骤41、客户端使用客户端插件(C-PN)登录视频监控平台,即通过客户端插件向视频监控平台发送登录请求消息,以与视频监控平台协商可定期变更的C-RAND。登录请求消息中携带有C-RAND。通常情况下,打开客户端时,客户端便通过客户端插件发送登录请求消息。步骤42、视频监控平台接收到登录请求消息后,保存C-RAND。步骤43、视频监控平台返回登录响应消息。步骤44、当用户对某个前端设备进行实时浏览操作时,通过客户端向视频监控平台发起实时浏览操作请求。步骤45、接收到实时浏览操作请求后,视频监控平台根据保存在数据库中的KS以及前端设备注册时上报的P-RK、P-RAND,生成CEK,并与该用户的C-RAND以及当前客户端版本的C-RK生成用户的SK;步骤46、视频监控平台下发SK给用户,并启动实时浏览流程,即通知前端设备已将SK下发给用户;步骤47、前端设备接收到通知后,发送加密媒体给视频监控平台;步骤48、视频监控平台将加密媒体发送给用户终端,用户获取加密媒体流。用户终端运行的客户端通过客户端插件,用SK、C-RAND、C-RK反解出CEK,用CEK对加密媒体进行解密,从而实现播放。本实施例中,视频监控平台通过获取客户端的C-RAND,利用C-RAND、C-RK, CEK生成SK,并将观发送到客户端,实现了客户端实时浏览媒体的情况下视频监控平台与客户端的密钥同步。图5为本发明实施例提供的视频监控中生成密钥的方法中用于录像、下载的密钥下发的信令流程图。具体包括步骤51、视频监控平台根据预先设定的策略录像时,前端设备发送加密媒体到视频监控平台;步骤52、视频监控平台将加密媒体保存在录像文件中,根据保存在数据库中的KS 以及前端设备注册时上报的P-RK、P-RAND,生成CEK,并用当前客户端版本最新C-RK对CEK 加密,生成LKJfLK并存储在当前录像文件中;步骤53、用户终端向视频监控平台发起下载录像文件的请求,以从视频监控平台下载录像文件;步骤M、视频监控平台下发用户选择的录像文件给客户端;步骤55、客户端播放下载的录像文件。具体地,客户端首先读取录像文件中的LK, 并根据LK以及自身C-RK反解出CEK,然后解密播放录像文件中的加密媒体。若客户端版本有更新,即C-RK已变更,则视频监控平台通过客户端的登录请求消息同时可获知变更后的C-RK,生成LK时,LK中携带有用于标识客户端版本信息的序列号。这样,客户端插件会根据LK中序列号,查找序列号标识的客户端版本对应的C-RK,从而解密出CEK。本实施例中,视频监控平台通过用客户端的C-RK对CEK加密生成LK,并将LK发送到客户端,实现了客户端下载录像文件的情况下视频监控平台与客户端的密钥同步。图6为本发明实施例提供的视频监控中生成密钥的方法中用于密钥变更的信令流程图。具体包括步骤61、前端设备与视频监控平台根据策略定期协商变更P-RAND,即前端设备根据预先设置的变更策略如每小时或每天更新一次P-RAND,生成新的随机数P-RAND’,协商变更时,前端设备向视频监控平台发送携带有P-RAND’的协商变更请求。步骤62、视频监控平台接收协商变更请求,保存P-RAND’,并检查是否有客户端正在使用该前端设备进行实时浏览;如果有,则执行步骤63 ;步骤63、视频监控平台通过P-RAND’计算新的短期密钥SK’,并将SK’发送给所有对该前端设备实时浏览的客户端,以保证客户端提前获取新的短期密钥;步骤64、客户端保存新SK,;步骤65、视频监控平台检查该前端设备是否正在录像,如果是,则计算新的长期密钥LK’,以保证在前端设备更新密钥之前获得新的长期密钥;步骤66、视频监控平台返回协商变更P-RAND’的确认消息给前端设备;步骤67、前端设备收到确认消息后,根据P-RAND’计算新的CEK’,并用CEK’对媒体流加密,同时变更发送的媒体流中的KCT,如将KCT的值修改为用于表示本加密媒体的密钥已更新的值,该值可由视频监控平台、前端设备及客户端三方约定。步骤68、前端设备发送使用新密钥加密得到的加密媒体给视频监控平台;
步骤69、如果视频监控平台上有录像,则视频监控平台检查加密媒体中KCT是否表示密钥有变更,当发现密钥变更时,重新建立新录像文件用来保存此加密媒体,并将变更后的LK’保存在此录像文件中;步骤610、如果视频监控平台上有该前端设备的实时浏览,则将上述步骤68中的加密媒体发送给客户端;步骤611、客户端接收加密媒体,并检查KCT是否表示密钥有变更,当发现密钥变更时,客户端插件使用SK’进行解密,并播放加密媒体。本实施例中,前端设备通过变更P-RAND改变CEK,并将P-RAND发送到视频监控平台,使得视频监控平台的CEK得到同步变更。视频监控平台利用变更的CEK生成新的SK、新的LK,并发送到客户端,使得客户端的SK、LK得到同步变更,从而实现了视频监控平台、前端设备、客户端之间的动态密钥的同步,保证了加密媒体的密钥有效性。图7为本发明实施例提供的视频监控平台设备的结构示意图。如图7所示,该视频监控平台设备包括开户请求接收模块71、登录请求处理模块72及第一密钥发送模块 73,开户请求接收模块71用于接收前端设备的开户请求,所述开户请求中携带有管理员设置的第一密钥如KS,详见上述步骤11的说明。登录请求处理模块72用于接收所述前端设备的登录请求,与所述前端设备协商生成P-RAND,详见上述步骤12的说明;第一密钥发送模块73用于将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、 所述P-RAND以及所述前端设备设备信息中的P-RK生成对媒体文件加密的CEK,详见上述步骤13的说明。本发明实施例提供的视频监控平台设备还可包括访问处理模块74,用于接收客户端发送的访问所述媒体文件请求,根据所述访问所述媒体文件请求将生成的所述媒体文件的初始解密密钥向所述客户端发送。所述访问处理模块74可具体用于接收客户端发送的实时浏览请求,将根据所述第一密钥、所述P-RAND以及获取的前端设备设备信息中的 P-RK生成的对媒体文件加密的CEK,和与所述客户端登录时协商的C-RAND以及所述客户端版本信息中的C-RK生成SK,将所述第一 SK向所述客户端发送。本发明实施例提供的视频监控平台设备还可包括实时浏览处理模块75,用于将所述实时浏览请求向所述前端设备转发,并接收所述前端设备根据所述实时浏览请求返回的加密后的媒体文件,将所述加密后的媒体文件向所述客户端发送,以使所述客户端接收所述加密后的媒体文件,并根据所述第一 SK、所述C-RAND以及所述客户端版本信息中的 C-RK生成第一解密密钥,利用所述第一解密密钥对所述加密后的媒体文件进行解密。所述第一密钥发送模块73可具体用于接收客户端发送的媒体文件下载请求,根据所述媒体文件下载请求将对所述前端设备发送的加密后的媒体文件进行录制的录像文件和LK向所述客户端发送,以使所述客户端对所述录像文件进行下载,并根据接收的所述 LK、所述C-RAND以及所述客户端版本信息中的C-RK生成第二解密密钥,利用所述第二解密密钥对所述加密后的媒体文件进行解密;所述LK为将根据所述第一密钥、所述P-RAND以及获取的前端设备设备信息中的P-RK生成的对媒体文件加密的CEK,和与所述客户端登录时协商的C-RAND以及所述客户端版本信息中的C-RK生成的密钥。本发明实施例提供的视频监控平台设备还可包括随机数协商模块76,用于与所述前端设备协商变更所述P-RAND。此时,所述第一密钥发送模块73可具体用于将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述协商变更后的 P-RAND以及所述前端设备设备信息中的P-RK生成对媒体文件加密的CEK。本发明实施例提供的视频监控平台设备还可包括浏览请求判断模块77、短期密钥生成模块78。浏览请求判断模块77用于判断是否有客户端对所述前端设备的媒体文件发送实时浏览请求;短期 密钥生成模块78用于在所述浏览请求判断模块77判断为是的情况下,根据所述第一密钥、所述协商变更后的P-RAND以及获取的前端设备设备信息中的 P-RK生成的对媒体文件加密的CEK,和与所述客户端登录时协商的C-RAND以及所述客户端版本信息中的C-RK生成SK,将所述第二 SK向所述客户端发送。本发明实施例提供的视频监控平台设备还可包括媒体文件转发模块79,用于将接收到的前端设备发送的加密后的媒体文件转发给所述客户端,以使所述客户端判断所述密钥变更标识位是否被所述前端设备修改;若是,则所述客户端根据所述第二 SK、所述 C-RAND以及所述客户端版本信息中的C-RK生成第二解密密钥对所述加密后的媒体文件进行解密。本发明实施例提供的视频监控平台设备还可包括录像判断模块710,用于判断是否保存有媒体文件的录像文件;若是,根据所述第一密钥、所述协商变更后的P-RAND以及获取的前端设备设备信息中的P-RK生成的对媒体文件加密的CEK,和与客户端登录时协商的C-RAND以及所述客户端版本信息中的C-RK生成的第二 LK。本实施例中,视频监控平台设备通过开户请求接收模块71、登录请求处理模块72 及第一密钥发送模块73与前端设备协商P-RAND,并将第一密钥发送给前端设备,以根据第一密钥、P-RAND及P-RK生成对媒体文件加密的CEK,提高了媒体文件传输的安全性。进一步地,通过访问处理模块74、实时浏览处理模块75、随机数协商模块76、浏览请求判断模块 77、短期密钥生成模块78、媒体文件转发模块79及录像判断模块710实现了与前端设备、客户端之间的密钥变更的同步,保证了密钥有效性。图8为本发明实施例提供的前端设备的结构示意图。如图8所示,该前端设备可包括开户请求模块81、登录请求模块82、第一密钥接收模块83及加密密钥生成模块84。 开户请求模块81用于向视频监控平台发送开户请求,所述开户请求中携带有管理员设置的第一密钥,具体详见上述步骤21的说明;登录请求模块82用于向所述视频监控平台发送登录请求,与所述前端设备协商生成P-RAND,具体详见上述步骤22的说明;第一密钥接收模块83用于接收所述视频监控平台发送的第一密钥;加密密钥生成模块84用于根据所述第一密钥、所述P-RAND以及设备信息中的P-RK生成对媒体文件加密的CEK,具体详见上述步骤23的说明。本发明实施例提供的前端设备还可包括浏览请求接收模块85、浏览请求处理模块86。浏览请求接收模块85用于接收所述视频监控平台转发的实时浏览请求;浏览请求处理模块86用于根据所述实时浏览请求向所述视频监控平台返回加密后的媒体文件。本发明实施例提供的前端设备还可包括随机数协商模块87,用于与所述视频监控平台协商变更所述P-RAND ;此时,所述加密密钥生成模块84具体用于根据所述第一密钥、协商变更后的P-RAND以及设备信息中的P-RK生成对媒体文件加密的CEK。本发明实施例提供的前端设备还可包括密钥变更标识修改模块88,用于对加密后的媒体文件中的密钥变更标识位进行修改。
本实施例中,前端设备通过开户请求模块81、登录请求模块82、第一密钥接收模块83及加密密钥生成模块84与视频监控平台协商P-RAND,并利用P-RAND及P-RK生成对媒体文件加密的CEK,提高了媒体文件传输的安全性。进一步地,通过浏览请求接收模块85、 浏览请求处理模块86、随机数协商模块87、密钥变更标识修改模块88实现了与视频监控平台、客户端之间密钥变更的同步。图9为本发明实施例提供的客户端装置的结构示意图。如图9所示,该客户端装置可包括登录请求模块91。登录请求模块91用于向视频监控平台发送携带有所述C-RAND、 当前C-RK的登录请求消息,以使所述视频监控平台利用所述C-RAND、C-RK生成用于对加密媒体进行解密的CEK。如所述登录请求模块91可具体用于向视频监控平台发送携带有所述C-RAND、当前的C-RK的登录请求消息,以使所述视频监控平台利用所述C-RAND、当前的 C-RK 生成 SK。本发明实施例提供的客户端装置还可包括=C-RAND配置模块92。C-RAND配置模块92用于配置C-RAND ;本发明实施例提供的客户端装置还可包括浏览请求模块93、SK接收模块94。浏览请求模块93用于向所述视频监控平台发送实时浏览请求;SK接收模块94用于接收所述视频监控平台根据所述实时浏览请求发送的SK。或者,本发明实施例提供的客户端装置还可包括录像下载请求模块、LK接收模块。录像下载请求模块用于向所述视频监控平台发送录像下载请求;LK接收模块用于接收所述视频监控平台根据所述录像下载请求发送的LK,所述LK由所述C-RK对所述CEK加密得到。本发明实施例提供的客户端装置还可包括新SK接收模块95、加密媒体接收模块 96、参数获取模块97及新CEK获取模块98。新SK接收模块95用于接收所述视频监控平台发送的新SK ;加密媒体接收模块96用于接收加密媒体;参数获取模块97用于获取所述加密媒体中用于标识密钥变更的参数;新CEK获取模块98用于在所述参数表示密钥变更的情况下,用所述新SK获得新CEK,以解密所述加密媒体。本实施例中,客户端装置通过登录请求模块91实现了与视频监控平台的C-RAND, 进而使得客户端装置与视频监控平台之间的SK、LK同步成为可能,保证了 CEK的有效性。图10为本发明实施例提供的视频监控中生成密钥的系统的结构示意图。如图10 所示,该系统可包括视频监控平台101、前端设备102及客户端103。视频监控平台101 分别与前端设备102、客户端103进行密钥同步,并在前端设备102的变更密钥的情况下实现与前端设备102、客户端103之间密钥的更新同步。其中,视频监控平台101可为上述实施例提供的任一种视频监控平台设备,前端设备102可为上述实施例提供的任一种前端设备,客户端103可为上述实施例提供的任一种客户端装置。本实施例中,视频监控中密钥同步的系统通过视频监控平台101、前端设备102及客户端103实现了媒体传输过程中的前端设备与网络侧之间、网络侧与客户端之间的密钥同步,保证了 CEK的有效性,提高了视频监控中媒体传输的安全性。上述方法、设备、装置及系统实施例由前端设备与客户端分别持有各自根密钥,通过前端设备自身的根密钥以及与视频监控平台协商的随机密钥加密媒体流,发送到平台进行录像保存,实现了前端设备、视频监控平台与客户端之间的密钥同步,从而满足动态密钥的同步需求,保证了加密的有效性。保存时,视频监控平台根据客户端自身根密钥计算LK 一并保存在录像文件中;或在客户端实时浏览时,视频监控平台同时与其协商随机密钥计算SK,发送给客户端对媒体流进行解密播放。保证了媒体流在前端到客户端的全过程中的安全性。并且在流程上实现了从前端设备协商获取密钥,保存在视频监控平台,再由视频监控平台加密后下发给客户端,增加了密钥的保密性,提高了媒体传输的安全性。进一步地, 在密钥的变化过程中,视频监控平台对其进行维护,保证了历史录像文件的加密密钥可找回,系统可以很容易的播放历史录像文件,而不受密钥不断变化所带来的影响,加强了媒体密钥的可维护性及有效性,进一步提高了媒体传输的安全性。由于分别提供了 P-PN和C-PN 来进行加密解密,可兼容各类型的前端与客户端,只要实现与插件的对接即可,保持了系统的兼容性与前端设备/客户端的透明性。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1.一种视频监控中生成密钥的方法,其特征在于,所述方法包括 接收前端设备的开户请求,所述开户请求中携带有管理员设置的第一密钥; 接收所述前端设备的登录请求,与所述前端设备协商生成前端设备随机数;将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述前端设备随机数以及所述前端设备设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
2.根据权利要求1所述的视频监控中生成密钥的方法,其特征在于,所述方法还包括 接收客户端发送的访问所述媒体文件请求,根据所述访问所述媒体文件请求将生成的所述媒体文件的初始解密密钥向所述客户端发送。
3.根据权利要求2所述的视频监控中生成密钥的方法,其特征在于,所述接收客户端发送的访问所述媒体文件请求,根据所述访问所述媒体文件请求将生成的所述媒体文件的初始解密密钥向所述客户端发送包括接收客户端发送的实时浏览请求,将根据所述第一密钥、所述前端设备随机数以及获取的前端设备设备信息中的根密钥生成的对媒体文件加密的内容加密密钥,和与所述客户端登录时协商的客户端随机数以及所述客户端版本信息中的根密钥生成短期密钥,将所述第一短期密钥向所述客户端发送。
4.根据权利要求3所述的视频监控中生成密钥的方法,其特征在于,所述方法还包括 将所述实时浏览请求向所述前端设备转发,并接收所述前端设备根据所述实时浏览请求返回的加密后的媒体文件,将所述加密后的媒体文件向所述客户端发送。
5.根据权利要求4所述的视频监控中生成密钥的方法,其特征在于,所述方法还包括 所述客户端接收所述加密后的媒体文件,并根据所述第一短期密钥、所述客户端随机数以及所述客户端版本信息中的根密钥生成第一解密密钥,利用所述第一解密密钥对所述加密后的媒体文件进行解密。
6.根据权利要求2所述的视频监控中生成密钥的方法,其特征在于,所述接收客户端发送的访问所述媒体文件请求,根据所述访问所述媒体文件请求将生成的所述媒体文件的初始解密密钥向所述客户端发送包括接收客户端发送的媒体文件下载请求,根据所述媒体文件下载请求将对所述前端设备发送的加密后的媒体文件进行录制的录像文件和长期密钥向所述客户端发送,所述长期密钥为将根据所述第一密钥、所述前端设备随机数以及获取的前端设备设备信息中的根密钥生成的对媒体文件加密的内容加密密钥,和与所述客户端登录时协商的客户端随机数以及所述客户端版本信息中的根密钥生成的密钥。
7.根据权利要求6所述的视频监控中生成密钥的方法,其特征在于,所述方法还包括 所述客户端对所述录像文件进行下载,并根据接收的所述长期密钥、所述客户端随机数以及所述客户端版本信息中的根密钥生成第二解密密钥,利用所述第二解密密钥对所述加密后的媒体文件进行解密。
8.根据权利要求1所述的视频监控中生成密钥的方法,其特征在于,所述方法还包括 与所述前端设备协商变更所述前端设备随机数;所述将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述前端设备随机数以及所述前端设备设备信息中的根密钥生成对媒体文件加密的内容加密密钥包括将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、 所述协商变更后的前端设备随机数以及所述前端设备设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
9.根据权利要求8所述的视频监控中生成密钥的方法,其特征在于,所述方法还包括 判断是否有客户端对所述前端设备的媒体文件发送实时浏览请求;若判断为是,根据所述第一密钥、所述协商变更后的前端设备随机数以及获取的前端设备设备信息中的根密钥生成的对媒体文件加密的内容加密密钥,和与所述客户端登录时协商的客户端随机数以及所述客户端版本信息中的根密钥生成短期密钥,将所述第二短期密钥向所述客户端发送。
10.根据权利要求9所述的视频监控中生成密钥的方法,其特征在于,所述方法还包括将接收到的前端设备发送的加密后的媒体文件转发给所述客户端; 所述客户端判断所述密钥变更标识位是否被所述前端设备修改;若是,则所述客户端根据所述第二短期密钥、所述客户端随机数以及所述客户端版本信息中的根密钥生成第二解密密钥对所述加密后的媒体文件进行解密。
11.根据权利要求8所述视频监控中生成密钥的方法,其特征在于,所述方法还包括 判断是否保存有媒体文件的录像文件;若是,根据所述第一密钥、所述协商变更后的前端设备随机数以及获取的前端设备设备信息中的根密钥生成的对媒体文件加密的内容加密密钥,和与客户端登录时协商的客户端随机数以及所述客户端版本信息中的根密钥生成的第二长期密钥。
12.一种视频监控中生成密钥的方法,其特征在于,包括向视频监控平台发送开户请求,所述开户请求中携带有管理员设置的第一密钥; 向所述视频监控平台发送登录请求,与所述前端设备协商生成前端设备随机数; 接收所述视频监控平台发送的第一密钥;根据所述第一密钥、所述前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
13.根据权利要求12所述的视频监控中生成密钥的方法,其特征在于,还包括 接收所述视频监控平台转发的实时浏览请求;根据所述实时浏览请求向所述视频监控平台返回加密后的媒体文件。
14.根据权利要求12所述的视频监控中生成密钥的方法,其特征在于,还包括与所述视频监控平台协商变更所述前端设备随机数;所述根据所述第一密钥、所述前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥包括根据所述第一密钥、协商变更后的前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
15.根据权利要求14所述的视频监控中生成密钥的方法,其特征在于,还包括对加密后的媒体文件中的密钥变更标识位进行修改。
16.一种视频监控平台设备,其特征在于,包括开户请求接收模块,用于接收前端设备的开户请求,所述开户请求中携带有管理员设置的第一密钥;登录请求处理模块,用于接收所述前端设备的登录请求,与所述前端设备协商生成前端设备随机数;第一密钥发送模块,用于将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述前端设备随机数以及所述前端设备设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
17.根据权利要求16所述的视频监控平台设备,其特征在于,还包括访问处理模块,用于接收客户端发送的访问所述媒体文件请求,根据所述访问所述媒体文件请求将生成的所述媒体文件的初始解密密钥向所述客户端发送。
18.根据权利要求17所述的视频监控平台设备,其特征在于,所述访问处理模块具体用于接收客户端发送的实时浏览请求,将根据所述第一密钥、所述前端设备随机数以及获取的前端设备设备信息中的根密钥生成的对媒体文件加密的内容加密密钥,和与所述客户端登录时协商的客户端随机数以及所述客户端版本信息中的根密钥生成短期密钥,将所述第一短期密钥向所述客户端发送。
19.根据权利要求18所述的视频监控平台设备,其特征在于,还包括实时浏览处理模块,用于将所述实时浏览请求向所述前端设备转发,并接收所述前端设备根据所述实时浏览请求返回的加密后的媒体文件,将所述加密后的媒体文件向所述客户端发送,以使所述客户端接收所述加密后的媒体文件,并根据所述第一短期密钥、所述客户端随机数以及所述客户端版本信息中的根密钥生成第一解密密钥,利用所述第一解密密钥对所述加密后的媒体文件进行解密。
20.根据权利要求17所述的视频监控平台设备,其特征在于,所述第一密钥发送模块具体用于接收客户端发送的媒体文件下载请求,根据所述媒体文件下载请求将对所述前端设备发送的加密后的媒体文件进行录制的录像文件和长期密钥向所述客户端发送,以使所述客户端对所述录像文件进行下载,并根据接收的所述长期密钥、所述客户端随机数以及所述客户端版本信息中的根密钥生成第二解密密钥,利用所述第二解密密钥对所述加密后的媒体文件进行解密;所述长期密钥为将根据所述第一密钥、所述前端设备随机数以及获取的前端设备设备信息中的根密钥生成的对媒体文件加密的内容加密密钥,和与所述客户端登录时协商的客户端随机数以及所述客户端版本信息中的根密钥生成的密钥。
21.根据权利要求20所述的视频监控平台设备,其特征在于,还包括随机数协商模块,用于与所述前端设备协商变更所述前端设备随机数;所述第一密钥发送模块具体用于将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述协商变更后的前端设备随机数以及所述前端设备设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
22.根据权利要求21述的视频监控平台设备,其特征在于,还包括浏览请求判断模块,用于判断是否有客户端对所述前端设备的媒体文件发送实时浏览请求;短期密钥生成模块,用于在所述浏览请求判断模块判断为是的情况下,根据所述第一密钥、所述协商变更后的前端设备随机数以及获取的前端设备设备信息中的根密钥生成的对媒体文件加密的内容加密密钥,和与所述客户端登录时协商的客户端随机数以及所述客户端版本信息中的根密钥生成短期密钥,将所述第二短期密钥向所述客户端发送。
23.根据权利要求22所述的视频监控平台设备,其特征在于,还包括媒体文件转发模块,用于将接收到的前端设备发送的加密后的媒体文件转发给所述客户端,以使所述客户端判断所述密钥变更标识位是否被所述前端设备修改;若是,则所述客户端根据所述第二短期密钥、所述客户端随机数以及所述客户端版本信息中的根密钥生成第二解密密钥对所述加密后的媒体文件进行解密。
24.根据权利要求21所述的视频监控平台设备,其特征在于,还包括录像判断模块,用于判断是否保存有媒体文件的录像文件;若是,根据所述第一密钥、 所述协商变更后的前端设备随机数以及获取的前端设备设备信息中的根密钥生成的对媒体文件加密的内容加密密钥,和与客户端登录时协商的客户端随机数以及所述客户端版本信息中的根密钥生成的第二长期密钥。
25.一种前端设备,其特征在于,包括开户请求模块,用于向视频监控平台发送开户请求,所述开户请求中携带有管理员设置的第一密钥;登录请求模块,用于向所述视频监控平台发送登录请求,与所述前端设备协商生成前端设备随机数;第一密钥接收模块,用于接收所述视频监控平台发送的第一密钥;加密密钥生成模块,用于根据所述第一密钥、所述前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
26.根据权利要求25所述的前端设备,其特征在于,还包括浏览请求接收模块,用于接收所述视频监控平台转发的实时浏览请求;浏览请求处理模块,用于根据所述实时浏览请求向所述视频监控平台返回加密后的媒体文件。
27.根据权利要求26所述的前端设备,其特征在于,还包括随机数协商模块,用于与所述视频监控平台协商变更所述前端设备随机数;所述加密密钥生成模块具体用于根据所述第一密钥、协商变更后的前端设备随机数以及设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
28.根据权利要求26所述的前端设备,其特征在于,还包括密钥变更标识修改模块,用于对加密后的媒体文件中的密钥变更标识位进行修改。
29.一种视频监控中生成密钥的系统,其特征在于,包括上述权利要求16至24任一项所述的视频监控平台设备、权利要求25至28任一项所述的前端设备。
全文摘要
本发明涉及一种视频监控中生成密钥的方法及系统、设备,方法包括接收前端设备的开户请求,所述开户请求中携带有管理员设置的第一密钥;接收所述前端设备的登录请求,与所述前端设备协商生成前端设备随机数;将所述第一密钥向所述前端设备发送,以使所述前端设备根据所述第一密钥、所述前端设备随机数以及所述前端设备设备信息中的根密钥生成对媒体文件加密的内容加密密钥。
文档编号H04N7/18GK102196304SQ20101013122
公开日2011年9月21日 申请日期2010年3月19日 优先权日2010年3月19日
发明者王峰 申请人:华为软件技术有限公司